解读1：图解《网络数据处理安全要求》V1.0.pptxVIP

图解 《网络数据处理安全要求》（GB/T 41479-2022）标准概述：保障数据处理的安全性和规范性为落实网络运营者在进行网络数据处理时的法律责任，落实《数据安全法》要求，保障网络运营者的运营数据安全，合法有序利用数据，中国网络安全审查技术与认证中心牵头，联合中国电子技术标准化研究院等单位，研制《信息安全技术 网络数据处理安全要求（GB/T 41479-2022）》，将于2022年11月1日正式实施。出台目的标准概述适用范围主要内容活动范围不同主体网络运营者规范网络数据处理网络运营者数据处理安全技术管理要求对网络数据处理进行监督管理监管部门 收集、存储、使用、加工、传输、提供、公开对网络数据处理进行评估第三方评估机构标准意义：界定了信息安全技术领域中基本或通用概念的术语和定义，并对其进行了分类引用文件GB/T 25069-2022 信息安全技术 术语标准意义：规定了开展收集、存储、使用、共享、转让、公开披露、删除等个人信息处理活动的原则和安全要求GB/T 35273-2020 信息安全技术 个人信息安全规范重要数据个人信息网络数据一旦泄露可能直接影响国家安全、公共安全、经济安全和社会稳定的数据数据以电子或者其他方式记录的与已识别或者可以识别自然人有关的各种信息通过网络收集、存储、使用、加工、传输、提供、公开的各种数据。例如：个人信息、重要数据等任何以电子或者其他方式对信息的记录关键术语：重要数据原则上不包括个人信息等数据概念的内涵延伸注：重要数据包括未公开的政府信息，数量达到一定规模的基因、地理、矿产信息等，原则上不包括个人信息、企业内部经营管理信息等私人信息：是指个人发送给特定对象不可转发给其他人的信息数据概念的外延整理数据处理相关数据安全数据处理：数据的收集、存储、使用、加工、传输、提供、公开等数据接收方：数据处理中接收数据的组织或者个人通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力个人信息包括姓名、出生日期、公民身份号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码﹑财产信息﹑征信信息﹑行踪轨迹﹑住宿信息﹑健康生理信息﹑交易信息等种类个人信息个人信息主体是指个人信息已识别或者可识别的自然人主体匿名化定义：个人信息经过处理无法识别特定自然人且不能复原的过程注：匿名化处理后的信息不属于个人信息关键术语：匿名化处理后的信息不属于个人信息“个人信息”相关定义敏感个人信息是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息定义敏感个人信息敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息种类特殊情况关键术语：网络的所有者、管理者、服务提供者均是网络运营者确定“网络运营者”“第三方应用”等相关定义网络运营者第三方应用定义：第三方应用是指由第三方提供的产品或者服务﹐以及被接入或者嵌入网络运营者产品或者服务中的自动化工具 注：本文件中的第三方应用包括但不限于软件开发工具包、第三方代码、组件、脚本、接口、算法模型、小程序等定义：网络运营者是指网络的所有者、管理者和网络服务提供者 注：本文件中的网络为开放公共网络数据识别分类分级风险防控审计追溯1.总体要求2.技术要求3.管理要求附录A：突发公共卫生事件个人信息保护要求数据识别后需形成数据保护目录识别数据个人信息重要数据其他数据形成目录形成数据保护目录及时更新注：各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。（来源：《数据安全法》）数据识别分类分级风险防控审计追溯1.总体要求2.技术要求3.管理要求附录A：突发公共卫生事件个人信息保护要求所识别的数据需进行分类分级管理依据按照相关国家标准注：分类分级相关的国家标准包括《信息安全技术 网络数据分类分级要求》（制订中）等需求根据合同规定和业务运营需要对所识别的数据进行分类分级管理行动注：国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。（来源：《数据安全法》）数据识别分类分级风险防控审计追溯1.总体要求2.技术要求3.管理要求附录A：突发公共卫生事件个人信息保护要求风险防控需加强安全防护措施综合要求安全保护风险监测建立制度建立数据安全管理责任和评价考核制度开展数据处理活动应加强风险监测制定计划制定数据安全保护计划数据保护发现数据安全缺陷，漏洞等风险时，应采取加密、脱敏、备份、访问控制、审计等技术或者其他必要措施，加强数据安全防护，保护数据免受泄露、